GODE RÅD TIL PASSWORDS
Men fordi passwords ofte bliver genbrugt, er det også oplagt som hacker at gå på jagt i de store bunker af passwordlaekager, der har vaeret gennem tiden. For eksempel blev 164 mio. passwords fra Linkedin laekket i 2016, og så kan en hacker bare gå i gang med at prøve kombinationen af e-mailadresse og password mange andre steder – måske helt maskinelt og lynhurtigt.
En hacker kan også have opsnappet dine passwords gennem skjult overvågning.
»Passwords er lette at aflure. Hvis man for eksempel kommer til at installere noget forkert software på din computer, kan der vaere en ”keylogger” indbygget, som kan aflure dine passwords,« siger Jens Myrup Pedersen.
Foreløbig 220 kunder hos Uniqkey
I Herlev uden for København begyndte en gruppe ivaerksaettere for fem år siden at arbejde med princippet om at sende det klassiske login med passwords på pension.
Startuppen Uniqkey har udviklet en løsning til virksomheder, så man som medarbejder aldrig skal taste et password, men altid bruge sin telefon til at sige ja tak, når man logger ind.
»I dag er passwords indgangen til alt. Og mange undervurderer problemet med passwords. Men hvis man ikke har respekt for det, så kan man lige så godt bare sige, at så er der fri adgang for alle,« siger Hakan Yagci, adm. direktør for og stifter af Uniqkey.
I gamle dage kørte virksomheder de vigtige it-systemer på egne computere i kaelderen, men i dag bruger de fleste it-systemer i ”skyen”, hvor man besøger en hjemmeside og logger ind. Derfor er det blevet endnu mere afgørende, at hackere ikke kan valse ind i de kritiske systemer bare ved at gaette eller finde det rette password på nettet.
Efter nogle år med udvikling og betatest har Uniqkey nu fået godt gang i salget og har 220 virksomheder og myndigheder som
Det er vigtigere, at passwordet er langt – mindst 12 tegn – end at det er tilfaeldige bogstaver og tegn.
Et staerkt password kan f.eks. vaere flere ord sat sammen: ”hammergulmurstenblomst”.
Genbrug ikke passwords. De kan blive laekket ét sted, og så står døren åben for hackerne.
En passwordmanager eller browserens hjaelpefunktion kan bruges til at huske mange forskellige sikre passwords.
Supplér passwordet med ekstra koder (flerfaktor-login), f.eks. en kode via sms, som minimum for al fjernadgang til systemerne.
Stil ikke krav om passwordkompleksitet (f.eks. at der skal vaere specialtegn), men sørg for at hjaelpe medarbejderne til at vaelge sikre passwords.
Krav om at skifte password med faste mellemrum øger ikke nødvendigvis sikkerheden – lav en vurdering af, om det er en fordel eller ulempe.
Tjek evt. din emailadresse på tjenesten www.haveibeenpwned.com – her kan du se, hvilke laek af passwords, din email indgår i.
Kilder:
Center for Cybersikkerhed m.fl. kunder i fire lande. Først kom der hul igennem hos mindre virksomheder, og nu er de store også begyndt at skrive under.
»Problemet med passwords er jo en udfordring, som alle virksomheder har. Nu vokser vi med 100 pct. hvert halve år, og det forventer vi at blive ved med frem til 2024. I år kommer vi til at omsaette for 5,5-6 mio. kr. i annual recurring revenue, og naeste år skal vi ligge på 20 mio. kr.« siger Hakan Yagci.
Annual recurring revenue bliver brugt af virksomheder med hurtig vaekst og betyder, at man ganger omsaetningen den seneste måned med 12.
Mens løsningen fra Uniqkey sørger for at bruge lange, sikre passwords, er det nye system, som Apple nu ruller ud, faktisk endnu mere sikkert. Her er der slet ikke noget password, men en nøgle. Populaert sagt rummer telefonen halvdelen af en nøgle, mens tjenesten, du vil logge ind i, har den anden halvdel.
Ved hjaelp af snedig matematik er det umuligt at regne sig frem til den private nøgle, men det er nemt at tjekke, at de to nøgler passer sammen og kan låse ”døren” op.
Man har altså ikke et kodeord, som en anden kan få oplyst – som i den nye Uberhackingsag – men en algoritme, som ligger i en app, typisk på telefonen. Ved et login bliver der så sendt matematiske spørgsmål og svar frem og tilbage – ikke bare ét kodeord – før der bliver åbnet for adgang.
Krigen i Ukraine skaerper opmaerksomhed
At gå ind på markedet for en mere sikker løsning end traditionelle passwords har vist sig at vaere en god idé for Uniqkey.
»Det har vaeret en spaendende kamp. Vi begyndte som verdens største underdog, for ingen kendte os. Men så er vi blevet mere og mere et navn, og nu har vi fået kunder fra Holland og Belgien, som selv har fundet frem til os,« siger Magnus Cohn, salgsdirektør i Uniqkey. Og udsigten til økonomisk uvejr i samfundet generelt har ikke påvirket forventningerne til salget.
»Uanset om der er økonomisk krise, så er sikkerhed stadig et must. Ellers risikerer du at lukke ned på grund af hackerangreb. Faktisk har krigen i Ukraine gjort folk mere opmaerksomme på, at alle kan blive ramt,« siger Hakan Yagci.
Med løsninger som den Uniqkey står bag, skiftet til MitID og det nye koncept fra Fidosamarbejdet, er der nu for alvor ved at blive slået søm i ligkisten på det helt traditionelle passwordlogin.
Men det betyder ikke, at der hurtigt vil blive skiftet over til de mere sikre løsninger, pointerer Jens Myrup Pedersen.
»Vi har som brugere vaennet os til at bruge passwords. Og det er indbygget i rigtig mange systemer. Så spørgsmålet er, hvor hurtigt det kommer til at gå. Og så bliver det spaendende at se, om Apples løsning er åben eller meget Apple-specifik, så de kan bruge det som et argument for, at man skal købe iPhone,« siger sikkerhedsprofessoren.
Hans kollega fra DTU haelder også til, at vi vil bruge passwords laenge endnu. Nu vil der bare vaere et alternativ.
»Jeg tror ikke, at passwords forsvinder helt. Men fremover bliver det ikke den eneste måde, du kan logge ind på. Der er også en stigende brug af to-faktor-login, hvor du skal have flere ting i spil, for eksempel en kode fra din telefon,« siger Christian Damsgaard Jensen.
At vi med de nye systemer gør vores telefon til omdrejningspunkt, er både godt og skidt.
»Det vil gøre livet som hacker svaerere, men det bliver ikke umuligt. Det kraever, at folk passer rigtig godt på deres telefon og på deres pinkoder til telefonen. For hvis nogen får adgang til din telefon, kan de få adgang til rigtig meget,« lyder det fra Jens Myrup Pedersen.
Vi er elendige til at bruge passwords. Mange vaelger noget simpelt – og blandt de rigtig dårligere topscorere er "123456".